Jak zmniejszyć tarcie UX w bezpiecznym rozwoju produktu?

Opublikowany: 2022-07-22

Podczas opracowywania produktu wygląd często przyciąga całą uwagę. Przyjemny interfejs użytkownika jest ważny, ale UX jest tym, co tworzy lub psuje Twój produkt.

Jako menedżer produktu spędzam większość czasu myśląc o tym, jak zmniejszyć tarcia w całym UX. Mam tu na myśli albo zmniejszenie liczby kroków, które użytkownik końcowy musi wykonać, aby osiągnąć swoje cele, albo zmniejszenie złożoności tych kroków. Aplikacja e-commerce, która wymaga przejścia przez trzy środki bezpieczeństwa w celu dokonania zakupu, nie będzie działać tak dobrze, jak aplikacja wymagająca tylko jednego.

Jednak niski poziom tarcia nie może odbywać się kosztem bezpieczeństwa organizacji, które przechowują poufne dane klientów, takich jak instytucje finansowe i firmy ubezpieczeniowe.

Ponieważ łatwość użytkowania i bezpieczeństwo danych osobowych są zwykle sprzeczne, znalezienie odpowiedniej równowagi może być trudne. Oto jak to zrobić.

Odwieczna bitwa między bezpieczeństwem a wygodą

Przez dziesięciolecia po narodzinach karty kredytowej w latach 50. wydawcy obawiający się oszustw wymagali od sprzedawców, aby dzwonili do nich, gdy transakcja przekracza „limit dolny” — maksymalną kwotę, jaką posiadacz karty mógł obciążyć bez wcześniejszej autoryzacji. To spore tarcie dla konsumenta, który czeka na zakup nowego samochodu lub lodówki. W rezultacie, ustalając limity minimalne, banki i firmy obsługujące karty kredytowe musiały porównać swój apetyt na ryzyko z tolerancją konsumentów na niedogodności.

Klient z limitem kredytowym w wysokości 10 000 USD prawdopodobnie ma większą wartość dla banku – i wyższe oczekiwania dotyczące obsługi – niż klient z limitem 1000 USD. Możesz zdecydować się na podniesienie limitu podłogi dla tego typu klientów, aby zminimalizować tarcie, którego doświadczają. Ale co, jeśli te konta o wyższej wartości są również najbardziej podatne na oszustwa? Może się to skończyć wprowadzeniem takiego poziomu ryzyka, który wyrządzi więcej szkód w wyniku finansowym niż utrata niektórych z tych klientów.

Szybko do przodu do ery cyfrowej i ta huśtawka konkurencyjnych wymagań pozostaje, aczkolwiek z szybko zmieniającymi się zagrożeniami i mniej cierpliwymi konsumentami. Nie ma dokładnej formuły, która pozwoliłaby pogodzić te wymagania, więc menedżerowie produktu pracujący nad oprogramowaniem i aplikacjami muszą stale kalibrować swój UX, aby utrzymać równowagę i bezpieczeństwo.

Mniej oszustw nie zawsze oznacza większy zysk

W przypadku najbezpieczniejszego oprogramowania i aplikacji istnieją dwa zestawy klientów, których muszą obsługiwać menedżerowie produktu:

  1. Organizacja, która stawia na najwyższą możliwą ochronę.
  2. Użytkownik końcowy, który chce bezproblemowego UX produktu.

Na przykład bank wolałby 100% ochronę przed oszustwami z wielu powodów, w tym:

  • Satysfakcja konsumenta.
  • Redukcja strat związanych z oszustwami.
  • Reputacja marki.
  • Minimalizacja cyberataków.

Z drugiej strony, użytkownik końcowy ma konkurencyjne wymagania: chce łatwego i szybkiego dostępu do swojego konta. Tak się nie stanie, jeśli UX banku jest zaprojektowany z myślą o 100% ochronie przed oszustwami.

Zamiast tego użytkownik końcowy napotka duże tarcie za każdym razem, gdy użyje aplikacji. Na przykład po wprowadzeniu hasła użytkownik może potrzebować wprowadzić dwuskładnikowy kod uwierzytelniający wysłany na jego telefon, a następnie skan biometryczny lub wyzwanie CAPTCHA. Wynikający z tego czas opóźnienia może skłonić niektórych użytkowników do ograniczenia korzystania z aplikacji lub, co gorsza, do szukania nowego banku. W tym scenariuszu bank zaoszczędzi pieniądze na stratach związanych z oszustwami, ale straci pieniądze na zmniejszającej się bazie klientów.

Aby skomplikować sprawy, różni użytkownicy końcowi mogą mieć różne progi określające, jak duże tarcia będą tolerować przed znalezieniem innego dostawcy usług.

Ikona reprezentująca bank jest oznaczona tekstem „Bank chce bezpiecznej aplikacji”. Ikona przedstawiająca telefon komórkowy jest oznaczona tekstem „Użytkownik chce bezproblemowej obsługi”.
Potrzeby klienta i preferencje użytkownika są często sprzeczne.

Zablokuj cele, koszty i tolerancję ryzyka klienta

Teraz, gdy ustaliliśmy, że próba zapewnienia 100% ochrony przed oszustwami nie ma sensu biznesowego, musimy ustalić, co ma. Zacznijmy od zasobów banku: pieniędzy i ludzi.

Najpierw zidentyfikuj aktualny wskaźnik oszustw banku i ile strat może zaabsorbować. Porównaj również oszczędności netto, jakie ma nadzieję uzyskać dzięki temu nowemu produktowi, z kosztami jego rozwoju i utrzymania. (Może się okazać, że ochrona przed oszustwami kosztuje więcej niż samo oszustwo).

Następnie sprawdź, ile podejrzanych spraw i „fałszywych alarmów” może przetwarzać personel banku dziennie. Fałszywe alarmy mają miejsce, gdy bank usunie lub ograniczy konto użytkownika z powodu błędnego obliczenia ryzyka. Te fałszywe alarmy zwiększają tarcia dla użytkownika, pochłaniają czas pracowników banku i mogą ostatecznie zaszkodzić reputacji marki.

Możesz zacząć określać zakres swojego produktu po zablokowaniu tego, co bank może sobie pozwolić na wydanie lub utratę pieniędzy i pracy. Dzięki tym informacjom możesz określić, które punkty danych należy zebrać od użytkowników końcowych, aby obliczyć ich wynik ryzyka oszustwa w czasie rzeczywistym.

Określ, które dane należy zbierać od użytkowników końcowych

Bezpieczne oprogramowanie i aplikacje weryfikują:

  • Kim jesteś. Są to twoje zachowania, które obejmują takie rzeczy, jak lokalizacje logowania lub ruchy myszy.
  • Co masz. Są to urządzenia, które są dla Ciebie zarejestrowane lub z których regularnie korzystasz.
  • Co wiesz. Obejmuje to hasła, pytania zabezpieczające, urodziny i inne dane osobowe.

Gdy oprogramowanie zbierze te informacje, modele uczenia maszynowego wykorzystują dane wejściowe z każdej kategorii, aby przypisać użytkownikowi profil ryzyka oszustwa. Na podstawie tego profilu organizacja może zdecydować, czy zezwolić na dostęp, odmówić dostępu, zażądać dalszego uwierzytelnienia, ograniczyć funkcjonalność lub jakąkolwiek kombinację tych opcji.

Jako menedżer produktu kuszące jest zebranie jak największej ilości informacji. Jednak nie zawsze jest to najlepsza praktyka. Dzieje się tak, ponieważ im więcej informacji zbierzesz od każdego użytkownika, tym więcej czasu i zasobów zajmuje obliczenie wyniku ryzyka na zapleczu. To z kolei zwiększa czas opóźnienia dla użytkownika, tj. więcej tarcia.

Zamiast tego zacznij od wskaźników, które wydają się być najprostszymi wyznacznikami tożsamości użytkownika, takimi jak lokalizacja, znane urządzenia i hasła. Następnie zastanów się, w jaki sposób złośliwy gracz może obejść te wskaźniki. Wyrafinowani przestępcy mogą sfałszować lokalizację i urządzenie użytkownika oraz mogą mieć dostęp do haseł, które zostały naruszone w wyniku wycieku danych lub ataków złośliwego oprogramowania. Aby zamknąć te luki, możesz również przeanalizować ruchy myszy lub sprawdzić, czy użytkownik dokonał podobnych zakupów w przeszłości.

Przed dodaniem nowego wskaźnika rozważ jego wpływ na zapobieganie oszustwom z początkowymi kosztami dodania go do produktu. Należy również wziąć pod uwagę powtarzające się koszty pracy i koszty finansowe, które wiążą się z dodatkowymi obliczeniami i przechowywaniem danych.

Pamiętaj, że znalezienie odpowiedniego zestawu wskaźników to ćwiczenie metodą prób i błędów. Jedynym sposobem, aby naprawdę określić korzyści płynące z każdego wskaźnika, jest dodawanie i odejmowanie każdego z nich, monitorowanie wpływu każdej kombinacji na wskaźnik oszustw i wrażenia użytkownika zarówno dla klienta, jak i użytkowników końcowych.

Osadź z klientami, aby sprawdzić swoje wskaźniki

Podczas gdy klient może priorytetowo traktować redukcję oszustw, użyteczność dla jego własnych pracowników (takich jak analitycy oszustw) jest również ważna na zapleczu. Dlatego dobrze jest upewnić się, że punkty danych, które planujesz zbierać, pomogą, a nie będą im przeszkadzać.

Model myślenia projektowego to przydatne podejście do produktów, które obsługują dwa zestawy użytkowników. Jest skoncentrowany na człowieku, a nie na problemie i prosi projektantów o empatię z użytkownikami, aby mogli wyobrazić sobie ich przyszłe potrzeby. Myślenie projektowe może pomóc menedżerom produktu w opracowaniu dynamicznego produktu, który służy konkurencyjnym interesom — w tym przypadku bezpieczeństwu i wygodzie.

Inwestowanie w etap empatii oznacza zadawanie pytań i włączanie się w codzienny przepływ pracy klienta. Pozwala to na angażowanie się w zapytania ofertowe w celu prognozowania zmian na rynku i sprawdzenia, w jaki sposób dane klienta są zgodne z jego krajobrazem zagrożeń w czasie rzeczywistym. Gdy zrozumiesz te strategiczne i taktyczne wyzwania, możesz rozpocząć rozwój.

Zaplanuj spędzanie z klientem jak największej ilości czasu w fazie rozwoju i testowania. Podczas gdy informacje zwrotne dadzą ci wyobrażenie o liście życzeń klienta, shadowing pomoże ci zidentyfikować nieporozumienia, luki w wiedzy i wady projektowe, które nie pojawią się w samoocenie.

Shadowing jest dość prosty, jeśli jesteś wewnętrznym menedżerem produktu, który dzieli przestrzeń biurową z analitykami ds. oszustw. Jeśli jesteś konsultantem lub pracownikiem poza siedzibą, musisz organizować wizyty na miejscu tak często, jak to możliwe. Jeśli podróż nie wchodzi w grę, warto podjąć wirtualne sesje z udostępnianiem ekranu.

Sprawdzaj co tydzień z analitykami oszustw, gdy Twój produkt jest już gotowy do działania, aby upewnić się, że projekt UX im służy, zwłaszcza gdy wprowadzasz nowe funkcje: Dlaczego wykonują zadania w określonej kolejności? Co się stanie, gdy klikną konkretny przycisk? Jak reagują, gdy otrzymują powiadomienie? Jakie zmiany dostrzegają w swojej codziennej pracy?

Zbierz swoje dane

Technologia gromadzenia danych umożliwia organizacjom wykorzystanie setek punktów danych do weryfikacji tożsamości użytkownika. Pomaga także witrynom i aplikacjom handlu elektronicznego dostosować wrażenia użytkownika do jego profilu demograficznego. Użytkownik, który pasuje do określonego profilu, może nawet uzyskać niestandardowe oferty lub uruchomić automatyczną pomoc.

Jak to działa w aplikacjach bezpieczeństwa?

  • Przeglądarki internetowe: za każdym razem, gdy użytkownik przechodzi do chronionej witryny w przeglądarce, wbudowane „kolektory” JavaScript gromadzą informacje identyfikujące. Może to obejmować punkty danych, takie jak lokalizacja, szczegóły urządzenia i ruchy myszy.
  • Aplikacje natywne: aplikacje natywne są przeznaczone dla określonej platformy urządzenia, takiej jak iOS lub Android. Podczas uzyskiwania dostępu do usługi z urządzenia mobilnego aplikacje te korzystają z zestawów programistycznych (SDK) do zbierania informacji identyfikacyjnych, które mogą obejmować stukanie i przesuwanie palcem zamiast ruchu myszą.

Twoje modele uczenia maszynowego przypiszą następnie ocenę ryzyka oszustwa na podstawie ogólnego wzorca, który tworzą te punkty danych. Jeśli wynik ryzyka jest powyżej średniej, sensowne jest wprowadzenie większej liczby tarcia w postaci uwierzytelniania dwuskładnikowego lub pytań zabezpieczających. Jeśli jednak zbyt wielu użytkowników uruchamia dodatkowe kroki weryfikacyjne, być może nadszedł czas, aby ponownie rozważyć próg ryzyka lub strategię gromadzenia danych.

Zmniejsz tarcie użytkownika końcowego

Po uruchomieniu produktu śledź skargi użytkowników końcowych rejestrowane w centrach obsługi telefonicznej lub w sklepach z aplikacjami, aby odkryć problemy i sugestie dotyczące ulepszeń. Nawet najlepsze testy przed uruchomieniem nie wykryją wszystkich punktów tarcia, a nowe systemy operacyjne i wydania urządzeń mogą spowodować nieoczekiwane komplikacje, które spowalniają użytkowników końcowych.

Dla firm zbudowanych na e-commerce koszty tych spowolnień są oczywiste. W 2022 r. Baymard Institute oszacował, że 17% możliwych do uniknięcia porzuceń koszyków było spowodowanych zbyt długim lub skomplikowanym procesem kasowania; dodatkowe 18% respondentów obwiniało brak zaufania do bezpieczeństwa danych karty kredytowej. Baymard szacuje, że powolne płatności i brak zaufania do bezpieczeństwa witryny były jednymi z kilku czynników, które przyczyniły się do utraty sprzedaży w USA i UE o wartości 260 miliardów dolarów. Stanowi to niesamowitą okazję dla menedżerów produktów e-commerce do przemyślenia swoich rozwiązań w punktach sprzedaży. Jednak bez względu na branżę zmniejszanie tarcia między użytkownikami i zapewnianie zaufania do ochrony danych powinno być stałą praktyką, która może zapewnić szczęśliwszym klientom i duże innowacje biznesowe.

Wykres słupkowy pokazujący przyczyny porzucania koszyków, którym można było zapobiec podczas realizacji transakcji. Wartości obejmują: Zbyt wysokie koszty dodatkowe, 48%; Wymagane założenie konta, 24%; Dostawa zbyt wolna, 22%; Bezpieczeństwo witryny wydaje się niewiarygodne, 18%; Kasa zbyt skomplikowana, 17%; Całkowity koszt niejasny, 16%; Błędy strony internetowej, 13%; Polityka zwrotów zbyt rygorystyczna, 12%; Ograniczone metody płatności, 9%; Karta odrzucona, 4%.
Skomplikowane procesy kasowe i brak zaufania do bezpieczeństwa witryny stanowiły 35% porzuconych koszyków, których można było uniknąć w 2022 roku.

Oto dwa przykłady skutecznej redukcji tarcia w bezpiecznym rozwoju produktu:

3DS

Pod koniec lat 90. Visa i Mastercard połączyły siły, aby stworzyć protokół bezpieczeństwa 3D Secure Payments (3DS). Wydany w 2001 roku, oryginalny protokół wymagał od wszystkich użytkowników zarejestrowania swoich kart w 3DS i logowania się przy każdej kasie za pomocą dedykowanego hasła 3DS. Jeśli użytkownik nie pamiętał swojego hasła 3DS, musiał je odzyskać lub zresetować przed dokonaniem zakupu. W późniejszej wersji wydawcy kart mieli możliwość zastąpienia często zapomnianego hasła statycznego dynamicznym hasłem jednorazowym (OTP). Jednak dodatkowy krok logowania nadal utrudniał proces realizacji transakcji.

Twórcy 3DS zwrócili uwagę na to utrzymujące się tarcia i w 2016 roku wydali 3DS 2.0, który zawiera komponent SDK, który umożliwia aplikacjom osadzanie elementu 3DS w ich kodzie. 3DS 2.0 jest lepiej przystosowany do transakcji mobilnych i analizuje więcej punktów danych, aby uzyskać dokładniejszą ocenę ryzyka. W rezultacie tylko niewielki procent użytkowników 3DS 2.0 musi wykonać dodatkowy krok uwierzytelnienia, często w formie OTP.

Obraz porównujący stare i nowe procesy 3DS. Pierwotny 3DS wymagał od wszystkich kupujących uwierzytelnienia swojej tożsamości za pomocą statycznych haseł, często wprowadzanych w wyskakującym okienku lub w witrynie przekierowującej. Proces 3DS 2.0 pokazuje, że więcej etapów uwierzytelniania odbywa się automatycznie i równolegle z procesem realizacji transakcji przez kupującego, zamiast spowalniać go. Te kroki uwierzytelniania obejmują ikony przedstawiające lokalizację kupującego, urządzenia, historię zakupów, bieżący zakup, strefę czasową i dane biometryczne.
3DS 2.0 wykorzystuje pasywne funkcje uwierzytelniania, które uwalniają większość kupujących od dodatkowych czynności podczas realizacji transakcji.

Uber

3DS 2.0 to przykład zmniejszenia tarcia produktu poprzez iterację. Ale możesz również zmniejszyć tarcie na poziomie branży, wprowadzając przełomowe produkty.

Model biznesowy Ubera opiera się na odejmowaniu tarcia od tradycyjnej jazdy taksówką. Dzięki Uberowi nie musisz już czekać na taksówkę lub grzebać w portfelu pod koniec podróży.

Bezproblemowy proces płatności był kluczem do wczesnego sukcesu firmy, ale wiązał się z pewnym ryzykiem. Za każdym razem, gdy Uber automatycznie przetwarza transakcję na karcie kredytowej zapisanej w aplikacji, ryzykuje obciążeniem zwrotnym (w którym posiadacz karty kwestionuje transakcję i otrzymuje zwrot pieniędzy).

Jednak Uber obliczył, że koszt tych potencjalnych obciążeń zwrotnych był wart możliwości optymalizacji doświadczenia użytkownika. Jeśli użytkownik musiałby wygrzebywać dane karty kredytowej lub wprowadzać hasło za każdym razem, gdy wzywał do przejazdu, cała firma mogła się nie powieść. Zamiast tego Uber zaakceptował ryzyko związane z tarciem i usługa wystartowała.

W obu tych przykładach podejście do zarządzania produktami skoncentrowane na użytkowniku, które uwzględniało również bezpieczeństwo i ryzyko, zaowocowało przełomowymi i zyskownymi innowacjami.

Najlepsza konserwacja to dobre wykroczenie

Oszuści chcą być o krok przed zespołami produktowymi. Podczas gdy inne rodzaje rozwoju mogą reagować na zmieniające się wymagania, projekty dotyczące bezpiecznego oprogramowania muszą je przewidywać. Oznacza to, że menedżerowie produktu muszą czytać literaturę branżową i wykorzystywać dane od wielu klientów, aby uczyć się na temat wcześniejszych naruszeń bezpieczeństwa i udanych odchyleń.

Zespół ds. produktu powinien regularnie dostarczać raporty dotyczące krajobrazu zagrożeń i porównywać je z doświadczeniami i wymaganiami klienta. Nie każde nowe zagrożenie gwarantuje aktualizację produktu. Być może Twój zespół zidentyfikował nowy typ ataku, przed którym Twój UX nie chroni, ale rozmowa z Twoim klientem pokazuje, że nie ma on znaczenia dla jego środowiska zagrożeń: jeden klient bankowy w RPA może mieć do czynienia z wysypem Oszustwa związane z zamianą karty SIM, podczas gdy inny w Nowym Jorku może doświadczać większej liczby ataków hakerów korzystających z VPN. W większości przypadków nie byłoby opłacalne – i wprowadzałoby niepotrzebne tarcie w UX – aby chronić oba banki przed obydwoma rodzajami oszustw.

Twoja rola jako menedżera produktu wymaga ciągłego dostosowywania funkcji, aby upewnić się, że nie handlujesz bezpieczeństwem na rzecz wspaniałego doświadczenia użytkownika lub odwrotnie. I chociaż będziesz potrzebować wielu danych, aby naprawdę zrozumieć potrzeby swoich klientów i użytkowników końcowych, reszta tego balansowania jest mieszanką prób, błędów i sztuki.